DotW: Wie man eine Palo Alto Networks Firewall über Clearpass und RADIUS authentifizieren

Dieses Dokument wurde aus Inhalten erstellt , die bei jedem, der das Aruba clearpass-Gerät verwendet, zur Identifizierung von Benutzer-und Maschinennamen-Informationen? in der Palo Alto Networks Live-Community-Diskussionsforum.

Dies wurde von einem Aruba Airheads-Forum, genommen von denen ich Mitglied bin. Es war ursprünglich geschrieben von Mike Courtney bei Adaptive Kommunikation.

Dieses How-to konfiguriert RADIUS-Authentifizierung auf einem Palo Alto Networks-Gerät mit PAN-OS 5.x / 6.0 und integrieren, die mit Clearpass. Palo Alto Networks Gerät wird konfiguriert werden, um einen RADIUS VSA von Clearpass erhalten und Superuser-Zugriff für ein AD-spezifische Benutzer.

Wie zuvor, ich habe eine Clearpass-Labor 6.2.x. Ich habe einen Windows 2012 Server mit definierten Benutzer und Gruppen, und ich habe die notwendige Rolle Zuordnungen unter Konfiguration gebaut > Identität > Rolle Zuordnungen in Clearpass. Ich habe auch Clearpass / Tipps Rollen, die meine Windows 2012 Gruppen zugeordnet sind.

Einrichtung auf Clearpass

Palo Alto Networks Wörterbuch im Clearpass aktivieren

1. Verwaltung > WörterBücher > RADIUS
2. Filter > Hersteller Name > enthält > Palo
3. Klicken Sie auf paloalto, dann klicken Sie auf aktivieren

• Konfiguration > Netzwerk > Geräte
• Wählen Sie Geräte
  • Name =<Name you'd="" like=""></Name>
  • RADIUS gemeinsamer geheimer Schlüssel =<Your shared="" secret=""></Your>
  • Name des Kreditors = PaloAlto
• Select Save

Erstellen einer Gerätegruppe (optional)

Es ist ratsam, aber nicht verpflichtet, Gerätegruppen in Clearpass verwenden. Dieser Schritt ist optional, nur eine Präferenz.

1. Konfiguration > Netzwerk > Gerätegruppen
2. Wählen Sie die Gerätegruppe 3 Hinzufügen
. Füllen Sie das namens Feld aus. Wir werden Palo Altos in diesem Beispiel
4 verwenden. Wählen Sie die Liste unter Format
5. Unter der Listebewegen Sie das Palo Alto-Gerät von den verfügBaren Geräten auf ausgewählte Geräte
6. Klick speichern

•  Konfiguration > Durchsetzung > Profile
• Klicken Sie auf Durchsetzungs Profil hinzufügen
• Wählen Sie RADIUS-basierte Durchsetzung als Vorlage
• Geben Sie einen Namen, Palo Alto RADIUS admin
• Vergewissern Sie sich, dass die Annahme in Aktion gesetzt wird
• Unter Eigenschaften:
  • Typ - Radius: PaloAlto
  • Name - Dok2-Admin-Rolle (1)
  • Wert - Superuser
• Klick speichern

Palo Alto Networks Enforcement Richtlinie erstellen

1. Konfiguration > DurchSetzung > RichtLinien
2. Klicken Sie auf Durchsetzungs Politik
3. Unter Vollstreckung, geben Sie einen Namen, Palo Alto Login Durchsetzungs Politik
4. ÜberPrüfen Sie, ob der RADIUS der Durchsetzungs Typ
5 ist. Wählen Sie das Zugriffs Profil für das Standardprofil
6. Wählen Sie Regeln und klicken Sie auf Regel
7 hinzufügen. Meins sieht aus wie folgt:

• Typ - Tipps
• Name - Rolle
• Operator - gleich
• Dok2-Admins
• Vollstreckungs profile > ProfilNamen > [RADIUS] Palo Alto RADIUS admin
• Klick speichern

Erstellen Sie einen Palo Alto Networks Login Service

1. Konfiguration > Dienstleistungen

2. Klicken Sie auf Service

3. Wählen Sie die Art der RADIUS-durch Setzung (Generic)

4. Geben Sie einen Namen für den Dienst, Palo Alto Firewall Logins

5. Unter Service-RegelGeben Sie

• Typ - Verbindung
• Name - NAD-IP-Adresse
• Bediener - BELONGS_TO_GROUP
• Wert - Palo Altos

6. Unter Authentifizierung:

• Authentifizierungsmethoden - PAP
• Authentifizierungsquellen-<your ad=""></your>

7. Wählen Sie unter Rollen die Rollen Mapping-Richtlinien für Ihre Domain aus. Hier ist, wie meine sieht, indem Sie ändern

• Typ - Genehmigung: Windows-2012
• Name - memberOf
• Operator - gleich
• Wert - CN = PaloAlto-Admins, CN = Users, DC = oben, DC = local
• Aktionen > Rollenname > PaloAlto-Admins

8. Unter Vollstreckung > Durchsetzungs Politik, Wählen Sie die Durchsetzungs Politik, die wir erstellt haben > Palo Alto Login-Durchsetzungs Politik

9. Klick speichern

10. Klick aktivieren

Palo Alto Networks Gerät konfigurieren

Führen Sie die folgenden Schritte über die grafische Benutzeroberfläche.

1. Gehen Sie zum Gerät > Server Profile > RADIUS > + Add

• Name = Clearpass  
• Klicken Sie auf + Add in dieses Menü:
• Name = FQDN des Servers Clearpass
• Protokoll = PAP
• IP-Adresse =<Clearpass ip="" address=""></Clearpass>
• Secret = Shared Secret für Palo Alto Networks Gerät in Clearpass
• Port = 1812 klicken Sie in diesem Menü auf OK

2. Gehen Sie zum Gerät > Authentifizierungs Profil > + Add

• Name = PAN-Clearpass
• Authentifizierung = RADIUS
• Server Profile = clearpass (ab Schritt 1)

3. Gehen Sie zum Gerät > Authentifizierungs Sequenz > + Add

• Name = PAN-Auth-Sequence
• Klick + Add
• Pan-clearpass wählen (ab Schritt 2)

Überprüfung der RADIUS-Authentifizierung

Diese zusätzliche Einrichtung auf einem Palo Alto Networks-Gerät mit mehreren Authentifizierungsprofile und RADIUS-Servern sein erforderlich. Es sollte als Teil einbezogen der Schritte zur RADIUS-Authentifizierung auf einem Palo Alto Networks Gerät garantieren.

1. Gerät zur > Setup > Verwaltungseinstellungen > Authentifizierungseinstellungen

• Klicken Sie auf die Schaltfläche "Widget" in der Ecke
• Pan-clearpass unter Authentifizierungs Profil auswählen
• Speichern Sie diese Konfiguration

Sie sollten nun in die GUI und die CLI auf einem Palo Alto Networks-Gerät mit Clearpass einloggen können. Sie können dies auf der CLI durch Eingabe überprüfen:

anzeigen Admins

Auch die AD-Konto zeigt sich vor dem @-Symbol auf eine erfolgreiche CLI-Verbindung:

mcourtney @ PA-200 >

Dies zeigt sich in der GUI unter:

Dashboard > Admins angemeldet

Sie können überprüfen, ob die Dinge funktionieren, indem Sie sich in ein Palo Alto Networks-Gerät einloggen und die Ergebnisse in Access Tracker sehen, die unter
Monitoring > Live Monitoring

Finden Sie diesen Artikel hilfreich? Daumen hoch? Fühlen Sie bitte sich frei, um eine Frage oder einen Kommentar hinterlassen.